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(54) Verfahren zum gesicherten nachtraglichen Programmieren einer Mtkroprozessorkarte fiir 
eine zusatzliche Anwendung 



(57) Verfahren zum nachtraglichen Programmieren 
einer Mikroprozessorkarte fur ein zusatzliche Anwen- 
dung. mit folgenden Schrltten: Speichern eines Schlus- 
sels K in einem Speicher der nachtrdgllch zu 
programmierenden Mikroprozessorkarte, Erstellen 
einer Befehissequenz. mittels der die Mikroprozessor- 
karte fur die zusatzliche Anwendung konfigurierbar ist, 
Verschlussein der Befehissequenz derart. daO die 
Befehissequenz mittels des Schlussels K errtschlussel- 
bar ist, Speichern der verschlusselten Befehissequenz 
auf einem DatentrSger, vorzugsweise einer weiteren 
Mikroprozessorkarte, Einrichten einer Datenkommuni- 
kation zwischen der nachtraglich zu programmierenden 
Mikroprozessorkarte und dem Datentrager bzw. der 
weiteren Mikroprozessorkarte. Durchfuhren eines 
Authentisierungsverfahrens zum Uberprufen. ob die 
nachtraglich zu programmierende Mikroprozessorkarte 
fur die nachtragllche Programmierung zugelassen ist, 
und/oder ob der DatentrSger bzw. die zusatzliche Mikro- 
prozessorkarte fur die nachtragliche Programmierung 
zugelassen ist, be! erfolgreichem AbschluB der Authen- 
tlsierung schrittweises Oder vollstandiges Obertragen 
der verschlusselten Befehissequenz von dem Datentra- 
ger bzw. der weiteren Mikroprozessorkarte an die nach- 
traglich zu programmierende Mikroprozessorkarte. 
Entschlussein der empfangenen, verschlusselten 
Befehissequenz bzw. Befehlssequenzteile durch den 
Mikroprozessor der zu programmierenden Mikroprozes- 
sorkarte mittels des gespeicherten Schlussels K, Anle- 



gen von Datenstrukturen cnnerhalb eines freien 
Speicherberelches der nachtraglich zu programmieren- 
den Mikroprozessorkarte entsprechend der Befehisse- 
quenz, wodurch die Mikroprozessorkarte fur die 
zusatzliche Anwendung konfiguriert wird. 
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Beschreibung 

Die vorliegende Erfindung betrifft ein Verfahren 
zum gesicherten nachtraglichen Programmieren einer 
Mikroprozessorkarte fur eine zusatzliche Anwendung, 

Ein Hauptanwendungsgebiet fur moderne Mikro- 
prozessorkarten llegt im Bankenbereich. wobei hier ins- 
besondere Anwendungen zum Durchfuhren von 
Geldtransaktionen als auch zur Verwendung als elek- 
tronische Borse eine Rolle spielen, 

MIkroprozessorkarten weisen neben einer CPU, 
einem RAM und einem ROM ubitcherweise einen 
zusatzlichen Datenspeicher, vorzugsweise ein 
EEPROM, auf. das im Rahmen der Personalisierung 
der Karte anwendungsspezifisch beschrieben wird. 
Dieser spezielle Speicherbereich ist Oblicherweise so 
groB bemessen, da 6 nach der Konfigurierung der Karte 
fur die Hauptanwendung noch Platz fur wertere Anwen- 
dungen verbleibt. 

Derartige weitere Anwendungen konnen beispiels- 
weise in der Verwendung der Karte als Identrfikations- 
mittel (elektrontscher Fahrschein) im offentlichen 
Beforderungsverkehr. als TrSger von speziellen Kun- 
dendaten fur Handelsketten (z.B. Bonussysteme) etc. 
liegen. 

Um eine Mikroprozessorkarte. die originar fur den 
Bankenbereich ausgegeben wurde. auch fur derartige 
zusatzliche Anwendungen benutzen zu konnen, ist eine 
entsprechende Konfigurierung der Karte erforderlrch. 
Hierzu wurde bereits vorgeschlagen, den erwahnten 
freien Speicherbereich bereits bei der ursprunglichen 
Programmierung der Karte fur eine Anzah! zusatzlicher 
Anwendungen aufzuteilen. und bereits die fur die 
Anwendungen notwendigen Datenstrukturen anzule- 
gen, Um die entsprechende Karte sp^ter fur eine derar- 
tige Anwendung verwenden zu konnen. ist noch ein 
"Freischalten" des entsprechend vorkonfigurierten 
Bereiches auf der Karte notwendig, was beispielsweise 
durch eine Schlusselabfrage erfolgen kann. 

Nachteillg an dieser bekannten Vorgehensweise ist 
die unflexible Aufteilung des fur die zusatzlichen 
Anwendungen zur Verfugung stehenden Speicherberei- 
ches, wodurch sich keine anwendungsspezifische opti- 
male Aufteilung und somit optimale Benutzung des zur 
Verfugung stehenden Speicherplatzes erreichen laBt 

Es ist die Aufgabe der vorliegenden Erfindung, ein 
Verfahren anzugeben. mit dem Mikroprozessorkarten in 
flexibler und abgesicherter Weise nach ihrer Ausgabe 
an die Kunden fur zusatzliche Anwendungen auch von 
Dritten konfiguriert werden konnen. 

Diese Aufgabe wird durch den Gegenstand des 
Patentanspruches 1 gelost. 

Bevorzugte Ausgestaltungen der Erfindung sind 
Gegenstand der Unteranspruche. 

Die vorliegende Erfindung baut auf der Erkenntnis 
auf, daB es nachteilhaft ist. den auf einer Mikroprozes- 
sorkarte fur zusatzliche Anwendungen zur Verfugung 
stehenden freien Speicherplatz bereits wahrend der 



ursprunglichen Initialisierung oder Personalisierung der 
Karte in vorbestimmte Felder aufzuteilen. unter 
Umstanden bereits mit bestimmten Datenstrukturen zu 
beschreiben und die entsprechend vorkonfigurierten 

5 Bereiche spater einzelnen Anwendungen zuzuweisen. 

GemaB der vorliegenden Erfindung ist eine Vor- 
strukturierung des freien Speicherbereich es nicht erfor- 
derlich, die Anpassung der Mikroprozessorkarte an 
eine zusatzliche Anwendung kann nachtrSglich noch zu 

10 dem Zeitpunkt erfolgen. zu dem entschieden wird, daB 
die Karte fur eine zusatzliche Anwendung verwendet 
werden soli. 

Im folgenden wird eine bevorzugte Ausfuhrungs- 
formdes erfindungsgemaf3en Verfahrens beschrieben. 
15 In einen Speicherbereich der Mikroprozessorkarte. 
die beispielsweise von einem Kreditinstitut ausgegeben 
wird. wird wahrend der ursprunglichen Personalisierung 
Oder Initialisierung ein Schliissel K eingeschrieben, der 
vorzugsweise. aber nicht notwendigerweise, alien Kar- 
20 ten. die von dem entsprechenden Kreditinstitut ausge- 
geben werden, gemeinsam ist. Die fertig personalisierte 
Karte weist bei ihrer Ausgabe an den Kunden innerhalb 
eines beschreibbaren Speichers, vorzugsweise eines 
EEPROMS. einen fur zusatzliche Anwendungen geeig- 
25 neten freien Speicherbereich auf, der zum gegenwarti- 
gen Entwicklungsstand beispielsweise einige Kilobyte 
groB sein kann. bei zukunftigen Chipgenerationen 
jedoch auch erheblich groBer ausfailen kann. 

EntschlieBt sich der Kunde zu einem spateren Zeit- 
30 punkt, die Mikroprozessorkarte fur eine weitere Anwen- 
dung zu venwenden. beispielsweise als Zahlungsmittel 
fur ein Transportunternehmen oder eine Handelskette, 
so kann er die Karte bei einer geeigneten Steile. vor- 
zugsweise bei dem Unternehmen selbst. auf das die 
35 Anwendung zugeschnitten ist, entsprechend nachpro- 
grammieren lassen. 

Die entsprechende Stelle verfugt uber einen Daten- 
trager. auf dem eine Befehlssequenz gespeichert ist, 
mittels der der Mikroprozessor veranlaBt werden kann. 
40 in einem geeigneten Teil des freien Speicherbereiches 
Datenstrukturen anzulegen. durch die die Mikroprozes- 
sorkarte fur die entsprechende zusatzliche Anwendung 
konfiguriert wird. 

Die auf den Datentrager der entsprechenden Stelle 
45 vorhandene Befehlssequenz muB somit an den Mikro- 
prozessor der Karte ubertragen werden. damit der 
Mikroprozessor die entsprechende Konfigurierung vor- 
nimnrrt. Aus Sicherheitsgrunden muB die entsprechende 
Programmsequenz auf geeignete Weise abgesichert, 
50 Z.B. verschlusselt zur Mikroprozessorkarte ubertragen 
werden. wobei die Mikroprozessorkarte mittels dem 
vorgespeicherten Schlussel K in der Lage ist. die 
Befehlssequenz zu entschlusseln. 

Daruber hinaus erfolgt vorzugsweise vor der eigent- 
55 lichen Datenubertragung eine Authentisierung. bei der 
festgestellt wird, ob die entsprechende Stelle berechtigt 
ist. eine Umprogrammierung der Mikroprozessorkarte 
durchzufuhren und/oder bei der festgestellt wird. ob die 



BNSDOCID; <EP 0847CX31 A1 J_> 



2 



EP 0 847 031 A1 



Mikroprozessorkarte berechtigt ist. entsprechend 
umprogrammiert zu werden. Vorzugsweise erfolgt die 
Authentisierung entsprechend bekannter Veriahren 
unter Einbeziehung des in der Mikroprozessorkarte fur 
die Entschlusselung abgelegten Schlussels K. 

Die Obertragung der Befehlssequenz von dem bei 
der enwahnten Stelle vorhandenen Datentrager zur 
Mikroprozessorkarte hin erfolgt vorzugsweise unter 
Zwischenschaltung eines geeigneten Terminals, in das 
die nachzukonfigurierende Mikroprozessorkarte einge- 
steckt wird. Vorzugsweise besteht der Datentrager, auf 
dem die Befehlssequenz gespeichert ist ebenfalls aus 
einer Mikroprozessorkarte und enthait die Befehlsse- 
quenz bereits in verschlQsselter Form. Somit ist denk- 
bar, daB Filialen einer bestimmten Handelskette jeweils 
im Besitz einer derartigen "Tragerkarte" sind und durch 
die auf der Tragerkarte verschlusselt gespeicherte 
Befehlssequenz rfwittels eines geeigneten Terminals auf 
eine entsprechende Mikroprozessorkarte iibertragen 
wird. Ein entsprechend geeignetes Gerat konnte somit 
sowohl einen Aufnahmebereich fOr die Tragerkarte als 
auch einen Aufnahmebereich fOr die Kundenkarte 
haben und die Kommunikation zur Durchfuhrung der 
Authentisierung sowie zur Obertragung der auf der Tra- 
gerkarte verschlusselt abgelegten Befehlssequenz zur 
Kundenkarte hin unterstutzen. 

Da gemaB der bevorzugten Ausfuhrungsform die 
Befehlssequenz bereits verschlusselt auf der Trager- 
karte gespeichert ist. ist selbst bei manipulativem Ein- 
griff in das die Kommunikation herstellenden Terminal 
eine Betrugsmaglichkeit weitgehend ausgeschlossen. 
da eine Entschlusselung der von der Tragerkarte gelie- 
ferten Oaten sowie ein Zugriff auf die zu programmie- 
rende Mikroprozessorkarte nur bei Kenntnis des 
entsprechenden Schlussels K moglich ist. 

Selbstverstandlich mu(3 der Datentrager, der die 
verschlusselte Befehlssequenz fur die Umprogrammie- 
rung enthait, nicht an jeder Stelle, an der die Umpro- 
grammierung der Mikroprozessorkarten mOglich ist. 
korperlich vorhanden sein; die entsprechenden Daten 
konnen selbstverstandlich auch beispielsweise uber 
eine Modemverbindung von einer zentralen Stelle zu 
den einzelnen Stellen ubertragen werden. 

Was oben als Befehlssequenz bezeichnet wurde. 
kann selbstverstandlich nicht nur die eigentlichen 
Befehle, die der Mikroprozessor fur die entsprechende 
Korrfigurierung benCtigt, umfassen. sondern auch alle 
Daten, die fur die bestlmmte Anwendung erforderlich 
sind. Derartige Daten kdnnen beispielsweise ein Geld- 
guthabendaten, Schlussel fur die Durchfuhrung von 
Authenttsierungsverfahren im Rahmen der zusStzlichen 
Anwendung en etc. umfassen. 

GemSB der vorliegenden Erfindung werden die 
Daten gesichert von dem Datentrager bzw. der Trager- 
karte zu der zu programmierenden Mikroprozessor- 
karte ubertragen. Die Sicherung erfolgt dabei derart. 
da 6 eine Endsicherung innerhalb der zu programmie- 
renden Mikroprozessorkarte mittels eines gespeicher- 



4 

ten Schlussels K moglich ist. Zur Sicherung kCnnen 
nicht nur die ubiichen Verschlusselungsverfahren ver- 
wendet werden. sondern auch alle gangigen kryptogra- 
phischen Verfahren wie beispielsweise elektronische 

5 Signatur etc. 

Insoweit der Ausdruck "Programmieren" verwendet 
wurde. soil dieser nicht daraufhin beschrankt verstan- 
den werden, da6 eine Programmierung auf Maschinen- 
sprachendDene erfolgt. Vielmehr und bevorzugterweise 

10 wird die Mikroprozessorkarte mittels hfiherer Befehle 
zur Durchfuhrung der Neukonfiguration angesprochen. 
vorzugsweise mittels Befehlen die durch das Betriebs- 
system des entsprechenden Mikroprozessors bereitge- 
^ellt werden. Die als Befehlssequenz bezeichneten 

15 Daten mussen dabei nicht notwendigerweise von dem 
Mikroprozessor direkt ausfuhrbare Befehlscodes auf- 
weisen, vielmehr besteht die Befehlsequenz allgemein 
ausgedruckt aus Information, durch die der Mikropro- 
zessor veranlaBt wird, die entsprechende Umkonf igura- 

20 tion vorzunehmen, 

GemaB dem vorlieg^den Verfahren kann der auf 
einer Mikroprozessorkarte fur zusatzliche Anwendun- 
gen anfanglich zur Verfugung stehende Speicherbe- 
reich bytegenau unter beliebigen Anwendungen 

25 aufgeteilt werden. Eine Unterteilung des Bereiches in 
starre Felder, die anschlleBend u.U. nur unvollstandig 
genutzt werden. wird somit vermieden. 

Da mit Hilfe des vorliegenden Verfahrens alle M6g- 
lichkeiten des programmierbaren Mikroprozessors 

30 genutzt werden kOnnen. besteht zusatzlich die Mdglich- 
keit. die Strukturierung der Daten exakt nach den 
Bedurfnissen der Anwendung durchzufuhren bzw. 
sogar zusatzlichen Programmcode in die Karte einzu- 
bringen, der es gestattet, das Verhalten des Mikropro- 

35 zessors optimal an die neue Anwendung anzupassen. 

Gegenuber den bisher bekannten Verfahren weist 
das vorliegende Verfahren den Vorteil auf, daB die an 
den Mikroprozessor ubermittelte Information nicht mlB- 
brauchlich venwendet werden kann. daB zur Verwen- 

40 dung der ubermittelten Information keinerlei Wissen 
uber die bereits auf der Karte gespeicherten Daten 
benOtigt wird. daB die zur Mikroprozessorkarte ubermit- 
telte Information nicht manipultert werden kann bzw. 
eine Manipulation sicher erkannt wird und schlieBlich 

45 daB die ubermittelte Information nur fur die dafur vorge- 
sehenen Karten verwendbar ist. da eine Verwendung 
der ubermittelten Information das Vorhandensein des 
Schlussels K auf der Karte bedingt. 

50 Patentanspruche 

1. Verfahren zum gesicherten nachtraglichen Pro- 
grammieren einer Mikroprozessorkarte fur ein 
zusatzliche Anwendung. mitfolgenden Schritten: 

55 

Speichern eines Schlussels K in einem Spei- 
cher der nachtraglich zu programmierenden 
Mikroprozessorkarte, 
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Erstellen einer Befehlssequenz. mittels der die 
Mikroprozessorkarte fur die zusStzliche 
Anwendung konf igurierbar ist. 
Speichern der verschlusselten Befehlssequenz 
auf einem Datentrager. vorzugsweise einer 5 
weiteren Mikroprozessorkarte, 
Einrichten einer Datenkommunikation zwi- 
schen der nachtraglich zu programmierenden 
Mikroprozessorkarte und dem Datentrager 
bzw. der weiteren Mikroprozessorkarte, io 
DurchfOhren eines Authentisierungsverfahrens 
zum Uberprufen, ob die nachtraglich zu pro- 
grammierende Mikroprozessorkarte fur die 
nachtraglich e Programmierung zugelassen ist. 
und/oder ob der Datentrager bzw. die zusatzli- is 
che Mikroprozessorkarte fur die nachtragliche 
Programmierung zugelassen ist. 
bei erfolgreichem AbschluS der Authentisie- 
rung schrittweises oder vollstandiges Ubertra- 
gen der Befehlssequenz In gesicherter Form 20 
von dem Datentrager bzw. der weiteren Mikro- 
prozessorkarte an die nachtraglich zu pro- 
grammierende Mikroprozessorkarte, 
Entsichern der empfangenen. gesicherten 
Befehlssequenz bzw. Befehlssequenzteile 25 
durch den Mikroprozessor der zu programmie- 
renden Mikroprozessorkarte mittels des 
gespeicherten Schlussels K. 
Aniegen von Daten und/oder Programmstruk- 
turen innerhalb eines freien Speicherbereiches 30 
der nachtraglich zu programmierenden Mikro- 
prozessorkarte entsprechend der Befehlsse- 
quenz, wodurch die Mikroprozessorkarte fur 
die zusatzliche Anwendung konfiguriert wird. 

35 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet. daB die Befehlssequenz bereits in gesi- 
cherter Form auf dem Datentrager bzw. der 
weiteren Mikroprozessorkarte gespeichert wird. 
derart, daB eine Entsicherung mittels des Schlus- 40 
sels K moglich ist. 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, daf3 die Sicherung mittels krypto- 
graphischer Verfahren erfolgt, vorzugsweise mittels 45 
geeigneter Verschlusselungsverfahren. 

4. Verfahren nach einem der AnsprCiche 1 bis 3, 
dadurch gekennzeichnet, daB in das Authentisie- 
rungsverfahren ebenfalls der Schlussel K einbezo- so 
gen ist. 

5. Verfahren nach einem der Anspruch e 1 bis 4. 
dadurch gekennzeichnet. daB der Schlussel K wah- 
rend der ersten Personal isierung der Karte gespei- 55 
chert wird. 

6. Verfahren nach einem der vorhergehenden Anspru- 



che, dadurch gekennzeichnet, daB die nachtragli- 
che Programmierung in einem Terminal 
durchgefuhrt wird, in das sowohl die zu program- 
mierende Mikroprozessorkarte als auch die weitere 
Mikroprozessorkarte eingesteckt werden und das 
die Datenkommunikation zwischen den Karten 
ermoglicht. 

7. Verfahren nach einem der vorhergehenden Anspru- 
che, dadurch gekennzeichnet, daB die verschlus- 
selte Befehlssequenz die fur die entsprechende 
Anwendung notwendigen Daten enthalt. 
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